Q26 — AWS DOP-C02 第1章
第 26/100 問 | ← 第1章
ある企業は、us-east-1リージョン内のAmazon CloudWatch Logsロググループにアプリケーションログを送信しています。同社は、これらのログを週単位でus-east-1からus-west-2リージョンへエクスポートする必要があります。また、ログは両リージョンで暗号化される必要があります。
- A. us-west-2にAmazon S3バケットを作成します。Amazon S3管理の暗号化キー(SSE-S3)を使用してS3バケットのサーバーサイド暗号化を設定します。AWS Lambda関数を作成・スケジュールし、毎週1回実行して前週分のCloudWatchログをus-west-2のS3バケットへエクスポートします。
- B. us-west-2にAmazon S3バケットを作成します。AWS KMSキー(SSE-KMS)を使用してS3バケットのサーバーサイド暗号化を設定します。AWS Lambda関数を作成・スケジュールし、毎週1回実行して前週分のCloudWatchログをus-west-2のS3バケットへエクスポートします。
- C. us-east-1にAmazon S3バケットを作成します。us-west-2にもS3バケットを作成します。Amazon S3管理の暗号化キー(SSE-S3)でサーバーサイド暗号化を設定し、両S3バケットでバージョニングを有効化します。AWS Lambda関数を作成・スケジュールし、毎週1回実行して前週分のCloudWatchログをus-east-1のS3バケットへエクスポートします。us-east-1のS3バケットにレプリケーションルールを設定し、ログをus-west-2のS3バケットへ複製します。
- D. us-east-1にAmazon S3バケットを作成します。us-west-2にもS3バケットを作成します。AWS KMSキー(SSE-KMS)でサーバーサイド暗号化を設定し、両S3バケットでバージョニングを有効化します。AWS Lambda関数を作成・スケジュールし、毎週1回実行して前週分のCloudWatchログをus-east-1のS3バケットへエクスポートします。us-east-1のS3バケットにレプリケーションルールを設定し、ログをus-west-2のS3バケットへ複製します。 ✓
正解: D. us-east-1にAmazon S3バケットを作成します。us-west-2にもS3バケットを作成します。AWS KMSキー(SSE-KMS)でサーバーサイド暗号化を設定し、両S3バケットでバージョニングを有効化します。AWS Lambda関数を作成・スケジュールし、毎週1回実行して前週分のCloudWatchログをus-east-1のS3バケットへエクスポートします。us-east-1のS3バケットにレプリケーションルールを設定し、ログをus-west-2のS3バケットへ複製します。
解説
選択肢Aは、両リージョンでのログ暗号化要件を満たしません。S3バケットがSSE-S3で暗号化されていても、CloudWatchロググループからS3バケットへの転送中は暗号化されません。選択肢Bは、SSE-KMSによるサーバーサイド暗号化によりSSE-S3より高い安全性を提供しますが、転送中の暗号化要件は依然として満たされません。選択肢Cは、まずus-east-1のS3バケットへエクスポートし、その後us-west-2へ複製するという不要な複雑性を導入し、転送時のエラーまたは遅延リスクを増加させます。また、us-east-1からus-west-2へのS3バケット間転送中にログが暗号化されるか不明です。選択肢Dが最適なソリューションであり、すべての要件を満たします。両S3バケットはSSE-KMSで暗号化され、バージョニングが有効化されているため、ログに追加の保護が提供されます。Lambda関数はCloudWatchロググループからus-east-1のS3バケットへログをエクスポートし、レプリケーションルールによりログを自動的にus-west-2のS3バケットへ転送します。これにより、ログの安全かつ効率的な転送が保証されます。